wso2 - WSO2 IS 中的动态资源支持用于访问控制

我是 WSO2 IS 的新手，我正在为我们的访问管理 (AM) 用例评估它。如果有人可以帮助回答，我有几个问题：

WSO2 IS 是否支持动态资源？例如。假设我想做文件系统的 AM，我想为每个文件/文件夹路径创建 XACML 访问控制策略。我想避免为每个文件创建资源，因为其他服务/脚本/程序可以在 FS 中动态创建文件。但是，我应该能够在文件上定义访问策略，而无需将每个文件创建为资源。WSO2 IS 是否可行，我该怎么做？
WSO2 IS 是否充当应用程序的 LDAP 服务器？例如，我有一个用例，我想通过 Facebook 等外部 IdP 对用户进行身份验证。我知道我可以在这里使用 WSO2 IS 联合身份验证器。但是，我的一些服务仅适用于 LDAP 协议。那么是否可以使用 OAuth2/SAML/OIDC 协议集成外部 IdP，但为服务提供 LDAP 查询支持？
我正在寻找的另一个功能是检索外部 IdP 令牌的机制。例如在 Azure Cloud 中，我可以使用 WSO2 IS 和 Federated Authenticator 对 Azure AD 进行身份验证。但是，如果我想从我的服务访问其他云服务，例如 ADLS，我也需要 Azure AD 令牌。是否有一些 API 可以用来获取外部 IdP 的令牌。
最后一件事。我找不到任何有关导出 WSO2 IS 中定义的 XACML 策略的文档。我看到有关于导入的文档（https://docs.wso2.com/display/IS450/Importing+an+XACML+Policy）。有人可以提供有关如何使用 WSO2 IS 导出策略的信息吗？

标签： wso2wso2is

1) 您可以为不可用/您希望限制的资源创建 XACML 策略。此外，您还可以在 xacml 策略中使用通配符资源位置。策略不能动态更新。

2) 我们不是 LDAP 服务器，但我们可以插入 LDAP。然后所有的添加用户、添加组服务都发生在这个 LDAP 之上。因此，如果您使用 SAML 连接到联合 IDP，则可以使用联合用户登录并将该用户详细信息配置到此 LDAP。然后，您可以将此用户详细信息用于 IS 和您的应用程序的其他功能。

3) 我们没有 OOTB API 来获取 federatedIDPs 令牌。作为身份服务器，我们从联合 IDP 获取访问令牌和 idetoken，并获取用户详细信息并将该用户提供给 IS。通过自定义联合身份验证器，我们可以实现这一点。

我们最近发布了 IS 5.8.0，它有了很大的改进并具有更好的性能。